Vista: Lokale Gruppenrichtlinien

Die Verbindung der Begriffe Lokal und Gruppenrichtlinien hört sich im ersten Moment etwas widersprüchlich an. Es sind aber durchaus Situationen denkbar, in denen lokale Gruppenrichtlinien von Bedeutung sind, und zwar immer dann, wenn Systeme nicht in einer Active Directory-Infrastruktur betrieben werden.

Eine der neuen Funktionen in Windows Vista sind die lokalen Gruppenrichtlinien. Gruppenrichtlinien kennt man ja schon seit Windows 2000, und zumindest einige Administratoren haben sie inzwischen zu schätzen gelernt, auch wenn sich bei Vorträgen des Autors immer wieder zeigt, dass erschreckend viele Administratoren immer noch nicht damit arbeiten. Sicherlich sind Gruppenrichtlinien nicht einfach zu managen, aber sie bringen viele Vorteile.

Die zentrale Steuerung von Gruppenrichtlinien setzt aber voraus, dass man mit dem Active Directory arbeitet. Nun gibt es aber Situationen, in denen man kein Active Directory hat – weil man sich für einen anderen Verzeichnisdienst entschieden hat oder weil man mit Computern wie Kiosk-Systemen arbeitet, die nicht mit dem Netzwerk verbunden sind. Um dort dennoch eine definierte Steuerung von Einstellungen für unterschiedliche Benutzer zu erhalten, hat Microsoft das Konzept der MLGPOs (Multiple Local Group Policy Objects) mit Windows Vista eingeführt. Damit können verschiedene lokale Gruppenrichtlinien verwaltet werden, die für unterschiedliche Benutzer angewendet werden.

Die lokalen Gruppenrichtlinien sind eine Teilmenge der bekannten Gruppenrichtlinien, die in Expert’s inside Windows NT/2000 ja schon sehr intensiv in einer Vielzahl von Artikeln behandelt wurden.

Mit beiden Technologien können Einstellungen ,vorgegeben werden, bei den lokalen Gruppenrichtlinien allerdings mit wichtigen Einschränkungen: Im Gegensatz zur bisherigen Lösung, bei der es nur eine lokale Benutzer- und eine lokale Computerrichtlinie gab, sind aberauch viele Verbesserungen zu verzeichnen. So finden sich nun drei Gruppen von Richtlinien:

  • Die lokale Gruppenrichtlinie ist die oberste Ebene. Dort können auch Computereinstellungen vorgenommen werden.

  • Darunter liegen die beiden Gruppenrichtlinien für administrative und nicht administrative Benutzer. In ihnen können nur Benutzereinstellungen vorgenommen werden, die die Festlegungen aus der lokalen Gruppenrichtlinie überschreiben.

  • Schließlich lassen sich noch Gruppenrichtlinien für einzelne Benutzer definieren, die die Einstellungen weiter anpassen.

Die Verarbeitungsreihenfolge geht in dieser Liste von oben nach unten, sodass die benutzerspezifischen Festlegungen zuletzt verarbeitet werden.

Neu ist auch, dass die lokalen Richtlinien nun auch bei Computern, die Mitglied in einer Domäne sind, verarbeitet werden können. Allerdings werden sie zuerst verarbeitet, bevor die Domäneneinstellungen angewendet werden. Damit sind die Domänen-Gruppenrichtlinien immer von höherer Wichtigkeit. Über die Gruppenrichtlinien der Domäne lässt sich die Verarbeitungm von lokalen Gruppenrichtlinien auch deaktivieren.